Skutečné hrozby ve veřejném Wi-Fi
Oddělme fakta od paranoie. Nejčastější hrozby ve veřejném Wi-Fi jsou: Man-in-the-Middle (MITM) útoky: Někdo se umístí mezi tvůj Mac a router a zachytává provoz. HTTPS zmírňuje riziko při surfování na webu, ale ne všechny aplikace používají HTTPS. Falešné hotspoty: Někdo vytvoří falešné Wi-Fi s legitimním názvem ("Starbucks_Free_WiFi"). Připojíš se a veškerý provoz je monitorován. Packet Sniffing: V otevřených (nešifrovaných) sítích může kdokoliv zachytit síťové pakety. HTTPS šifruje obsah, ale metadata — které servery kontaktuješ, kdy, jak často — jsou viditelná. ARP-Spoofing: Technický útok, který přesměrovává provoz v místní síti.
Proč samotný HTTPS nestačí
"Ale všechno je přece šifrováno přes HTTPS!" — to je částečně pravda, ale zavádějící. HTTPS chrání obsah webového provozu. Útočník nemůže číst tvé e-maily. Ale může vidět: které domény kontaktuješ (DNS dotazy jsou často nešifrované), časování a objem tvého provozu (metadata) a jakýkoliv aplikací, která nepoužívá HTTPS. Mnoho desktopových aplikací stále používá nešifrované spojení pro některé funkce. Kontroly aktualizací, pings analytiky a telemetrie často používají HTTP. Ještě důležitější: Tvé pozadí aplikace na Macu nevědí, že jsou v rizikové síti. Dropbox synchronizuje, e-mailové klienty stahují a SDK analytiky telefonují domů.
Krok 1: Zabezpečit aplikace
Nejefektivnější ochranou je snížení povrchu útoku. Ve veřejném Wi-Fi většina tvých aplikací nepotřebuje internetové připojení. Pomocí firewallu třetí strany na úrovni aplikace, jako je NetMute, vytvoříš profil 'Veřejné Wi-Fi', který povolí pouze nezbytné aplikace: prohlížeč, VPN klienta a možná e-mail. Všechno ostatní bude zablokováno. Tím zabráníš: pozadí aplikací, které unikají data přes nedůvěryhodnou síť, zbytečným spojení, která odhalují metadata, a aplikacím, které synchronizují velké objemy dat přes potenciálně monitorovaná spojení. NetMute může tento profil automaticky aktivovat, když se připojíš k nedůvěryhodné síti.
Krok 2: Používat VPN (ale pochopit limity)
VPN šifruje veškerý tvůj provoz a přenáší ho přes bezpečný tunel. To zabrání místním útočníkům číst tvá data. Používej seriózní VPN v každé veřejné síti. Ale VPN neřeší všechno. Nezastaví, že tvé aplikace se připojují — pouze šifruje spojení. Aplikace, která leakuje data trackerovi, to stále dělá. Tracker stále dostává tvá data; mají jen šifrovaný tunel. VPN + firewall třetí strany je ideální kombinace: VPN šifruje, firewall kontroluje přístup.
Kompletní ochranné nastavení pro veřejné Wi-Fi
Zde je krok za krokem doporučené nastavení sítě: 1. Před připojením: aktivuj VPN a přepni na restriktivní profil v NetMute. 2. Po připojení: povol pouze nezbytné aplikace (prohlížeč, VPN, e-mail). Všechno ostatní zablokuj. 3. Dávej pozor na upozornění: NetMute upozorní na podezřelé chování sítě, jako jsou captive portály. 4. Po použití: odpoj se od veřejné sítě. Tvůj normální profil se automaticky obnoví. 5. Nejlepší praxe: citlivé účty (bankovnictví, administrátorské panely) nikdy nepoužívej ve veřejném Wi-Fi, pokud to není nezbytné. S tímto nastavením je veřejné Wi-Fi méně rizikové a lépe ovladatelné.